Considerazioni sulla sicurezza per MBAM 1.0
Aggiornamento: novembre 2012
Si applica a: Microsoft BitLocker Administration and Monitoring 1.0
Questa sezione contiene una breve panoramica di account e gruppi, file di registro e altre considerazioni correlate alla sicurezza di Microsoft BitLocker Administration and Monitoring (MBAM). Per ulteriori informazioni, utilizzare i collegamenti disponibili in questo articolo.
Considerazioni generali sulla sicurezza
Identificare i rischi per la sicurezza. Il rischio più grave per MBAM è che la funzionalità potrebbe essere soggetta a hijack da parte di utenti non autorizzati che potrebbero riconfigurare la crittografia BitLocker e ottenere i dati delle relative chiavi nei client di MBAM. Tuttavia, la perdita di funzionalità di MBAM per un breve periodo di tempo a causa di un attacco Denial of Service non ha in genere effetti irreversibili.
Proteggere fisicamente i computer. La sicurezza non è completa senza l'implementazione di misure fisiche. Chiunque abbia accesso a un server di MBAM potrebbe in teoria attaccare l'intera base di client. È necessario considerare come rischio elevato qualsiasi potenziale attacco fisico e affrontarlo di conseguenza. I server di MBAM devono essere collocati in una sala server fisicamente protetta con accesso controllato. Proteggere questi sistemi quando gli amministratori non sono fisicamente presenti impostando il sistema operativo in modo che blocchi il computer oppure utilizzando uno screen saver protetto.
Applicare gli aggiornamenti di sicurezza più recenti in tutti i computer. Mantenersi informati sui nuovi aggiornamenti per i sistemi operativi, Microsoft SQL Server e MBAM sottoscrivendo il servizio di notifica di informazioni sulla sicurezza (https://go.microsoft.com/fwlink/p/?LinkId=28819).
Utilizzare password o passphrase complesse. Utilizzare sempre password complesse costituite da almeno 15 caratteri per tutti gli account Administrator di MBAM e MBAM. Non utilizzare mai password vuote. Per ulteriori informazioni sui concetti relativi alle password, vedere il white paper Criteri di password e account su TechNet (https://go.microsoft.com/fwlink/p/?LinkId=30009).
Account e gruppi in MBAM
Come procedura consigliata per la gestione degli account utente, creare gruppi globali di dominio e aggiungervi gli account utente. Aggiungere quindi gli account globali di dominio ai gruppi locali di MBAM necessari nei server di MBAM.
Gruppi di Servizi di dominio Active Directory
Nessun gruppo viene creato automaticamente durante l'installazione di MBAM. È tuttavia consigliabile creare i gruppi globali di Servizi di dominio Active Directory riportati di seguito per gestire le operazioni di MBAM.
| Nome gruppo | Dettagli |
|---|---|
MBAM Advanced Helpdesk Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti del servizio tecnico avanzato MBAM creato durante l'installazione di MBAM. |
MBAM Compliance Auditing DB Access |
Creare questo gruppo per gestire i membri del gruppo locale di accesso al database di conformità e controllo MBAM creato durante l'installazione di MBAM. |
MBAM Hardware Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti di hardware MBAM creato durante l'installazione di MBAM. |
MBAM Helpdesk Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti del servizio tecnico MBAM creato durante l'installazione di MBAM. |
MBAM Recovery and Hardware DB Access |
Creare questo gruppo per gestire i membri del gruppo locale di accesso al database di hardware e ripristino MBAM creato durante l'installazione di MBAM. |
MBAM Report Users |
Creare questo gruppo per gestire i membri del gruppo locale di utenti di report MBAM creato durante l'installazione di MBAM. |
MBAM System Administrators |
Creare questo gruppo per gestire i membri del gruppo locale di amministratori di sistema MBAM creato durante l'installazione di MBAM. |
BitLocker Encryption Exemptions |
Creare questo gruppo per gestire gli account utente che devono essere esentati dall'avvio della crittografia BitLocker nei computer a cui accedono. |
Gruppi locali del server di MBAM
Durante l'installazione di MBAM vengono creati i gruppi locali per supportare le operazioni. È necessario aggiungere i gruppi globali di Servizi di dominio Active Directory ai gruppi locali appropriati di MBAM per configurare la sicurezza e le autorizzazioni di accesso ai dati.
| Nome gruppo | Dettagli |
|---|---|
MBAM Advanced Helpdesk Users |
I membri di questo gruppo dispongono di accesso esteso alle funzionalità del supporto tecnico di Microsoft BitLocker Administration and Monitoring. |
MBAM Compliance Auditing DB Access |
Questo gruppo contiene i computer che hanno accesso al database di conformità e controllo MBAM. |
MBAM Hardware Users |
I membri di questo gruppo dispongono di accesso ad alcune funzionalità hardware di Microsoft BitLocker Administration and Monitoring. |
MBAM Helpdesk Users |
I membri di questo gruppo dispongono di accesso ad alcune funzionalità del supporto tecnico di Microsoft BitLocker Administration and Monitoring. |
MBAM Recovery and Hardware DB Access |
Questo gruppo contiene i computer che dispongono di accesso al database di hardware e ripristino MBAM. |
MBAM Report Users |
I membri di questo gruppo dispongono di accesso ai report di conformità e controllo di Microsoft BitLocker Administration and Monitoring. |
MBAM System Administrators |
I membri di questo gruppo dispongono di accesso a tutte le funzionalità di Microsoft BitLocker Administration and Monitoring. |
Account di accesso ai report SSRS
L'account del servizio di report di SQL Server Reporting Services (SSRS) fornisce il contesto di sicurezza per l'esecuzione dei report MBAM disponibili tramite SSRS. Questo account viene configurato durante l'installazione di MBAM.
File di registro MBAM
Durante l'installazione di MBAM, vengono creati i seguenti file di registro del programma di installazione di MBAM nella cartella %temp% dell'utente che esegue l'installazione
File di registro del programma di installazione del server di MBAM
- MSI<cinque caratteri casuali>.log**
Registra le azioni eseguite durante l'installazione di MBAM e delle funzionalità server di MBAM.
- InstallComplianceDatabase.log
Registra le azioni eseguite per definire le impostazioni del database dello stato di conformità MBAM.
- InstallKeyComplianceDatabase.log
Registra le azioni eseguite per creare il database di hardware e ripristino MBAM.
- AddHelpDeskDbAuditUsers.log
Registra le azioni eseguite per creare gli accessi di SQL Server nel database sullo stato di conformità MBAM e autorizzare il servizio Web del supporto tecnico nel database per i report.
- AddHelpDeskDbUsers.log
Registra le azioni eseguite per autorizzare i servizi Web nel database per il recupero chiavi e per creare gli accessi al database di hardware e ripristino MBAM.
- AddKeyComplianceDbUsers.log
Registra le azioni eseguite per autorizzare i servizi Web nel database dello stato di conformità MBAM per la creazione di report di conformità.
- AddRecoveryAndHardwareDbUsers.log
Registra le azioni eseguite per autorizzare i servizi Web nel database di hardware e ripristino MBAM per il recupero chiavi.
Nota
Per ottenere altri file di registro del programma di installazione di MBAM, è necessario installare Microsoft BitLocker Administration and Monitoring utilizzando il pacchetto msiexec e l'opzione /l <percorso>. I file di registro vengono creati nel percorso specificato.
File di registro del programma di installazione del client di MBAM
- MSI<cinque caratteri casuali>.log**
Registra le azioni eseguite durante l'installazione del client di MBAM.
Considerazioni sulla crittografia TDE dei database di MBAM
La funzionalità TDE (Transparent Data Encryption) disponibile in SQL Server 2008 è un prerequisito di installazione per le istanze di database che ospiteranno le funzionalità di database di MBAM.
Con TDE, è possibile eseguire la crittografia completa in tempo reale a livello di database. Si tratta di una scelta particolarmente indicata per rispettare la conformità alle normative o agli standard aziendali di sicurezza dei dati in caso di crittografia di massa. TDE opera a livello di file, in modo simile a due funzionalità di Windows, ovvero EFS (Encrypting File System) e Crittografia unità BitLocker, che crittografano i dati nel disco rigido. TDE non sostituisce la crittografia a livello di cella, EFS o BitLocker.
Quando TDE è abilitata in un database, vengono crittografati tutti i backup. Pertanto, è necessario prestare una particolare attenzione per assicurarsi che il certificato utilizzato per proteggere la chiave DEK (Database Encryption Key) sia sottoposto a backup e conservato con il backup del database. Senza un certificato, i dati non saranno leggibili. Eseguire il backup del certificato con il database. Ogni backup del certificato dovrebbe contenere due file, che devono essere archiviati. Per sicurezza, è consigliabile archiviarli separatamente dal file di backup del database.
Per un esempio su come abilitare TDE per le istanze di database di MBAM, vedere Valutazione di MBAM 1.0.
Per ulteriori informazioni su TDE in SQL Server 2008, vedere Database Encryption in SQL Server 2008 Enterprise Edition (Crittografia dei database in SQL Server 2008 Enterprise Edition).
Vedere anche
Altre risorse
Sicurezza e privacy per MBAM 1.0
-----
Per ulteriori informazioni su MDOP, è possibile accedere alla libreria TechNet, cercare contenuto sulla risoluzione di problemi in TechNet Wiki o tenersi informati tramite Facebook o Twitter.
-----